Unternehmens-IT absichern Der Weg vom SIEM zum SOC

Von Sascha Giese |

Anbieter zum Thema

Um herauszufinden, was die Sicherheits-Experten in ihren aktuellen Werkzeugen vermissen, oder wo ein Feature vielleicht nicht ganz zu Ende gedacht wurde, hat Tools-Anbieter SolarWinds gezielt in der eigenen Community THWACK nachgeforscht. Denn der besondere Wert von Online-Communites liegt darin, sich mit Experten aus allen Bereichen, allen Industrien und allen Ländern auszutauschen.

Um IT-Sicherheit in einem SOC zu zentralisieren braucht es nicht zwingend einen „War-Room“  und es muss auch nicht in jedem Fall ein eigenes Team auf die Beine gestellt werden.
Um IT-Sicherheit in einem SOC zu zentralisieren braucht es nicht zwingend einen „War-Room“ und es muss auch nicht in jedem Fall ein eigenes Team auf die Beine gestellt werden.
(© Gorodenkoff - stock.adobe.com)

Ein ausgewachsenes SOC (Security Operations Center) war traditionell ein „Luxus“, der nur für die größten Organisationen finanzierbar war, wobei auch dort um das Budget gekämpft wurde. Leider wird die Bereitschaft, Geld für Sicherheit in die Hand zu nehmen, meist erst nach einem Zwischenfall größer. Häufig wird jedoch vergessen, dass es nicht zwingend eines „War-Rooms“ bedarf, und es muss auch nicht in jedem Fall ein eigenes Team auf die Beine gestellt werden. Zentralisierte Sicherheit lässt sich durchaus an spezialisierte Dienstleister ausgliedern. Noch relativ jung sind etwa Anbieter von auf KI basierenden Systemen, die mit schnellerer Antwortzeit und geringeren laufenden Kosten Punkten wollen. Egal wie groß die Investition ist, man kauft damit vor allem eins ein: Seelenfrieden. Gerade wichtig im Dschungel deutscher Gesetze und Verordnungen.

Klein starten. Groß planen.

Man könnte debattieren, ob es denn immer ein „Center“ sein muss, um „Security Operations“ zu betreiben. Es steht jedoch außer Frage, dass in großen IT-Umgebungen getrenntes, dediziertes Personal für die Sicherheit verantwortlich sein muss. In kleinen Unternehmen kann man mit verschiedenen Aufgaben jonglieren und mehrere Hüte tragen, aber die Wahrscheinlichkeit, Ziel eines Angriffes zu werden, steigt mit dem Wert des Unternehmens an der Börse. Man wird nicht nur für Anleger attraktiv.

Dem Personal sollte ausreichend Zeit zum Lernen zur Verfügung stehen, um immer auf dem Laufenden zu bleiben. Laut einer SolarWinds-Umfrage zum IT Pro Day 2020 gaben mehr als ein Viertel der IT-Experten an, dass es notwendig sei, neue Fähigkeiten zu erlernen und sich bei kritischen Kernkompetenzen wie etwa Systemverwaltung, Netzwerkverwaltung sowie Sicherheitsrichtlinien und Compliance fortzubilden. Dieser Faktor sollte bei der Personalplanung einkalkuliert werden und ein permanenter Lernprozess ist idealerweise gleich Teil des Karrierepfades der Mitarbeiter, im Englischen passend als „learn and grow“ bezeichnet.

Unverzichtbar ist der Einsatz, aber auch der korrekte Umgang mit geeigneten Werkzeugen. Selbst die besten auf dem Markt erhältlichen High-End-Lösungen helfen nicht, wenn sie nur eingekauft wurden, um eine einzelne Checkbox abdecken zu können. Unglücklicherweise ist gerade bei umfassenden Lösungen der Grad der Komplexität hoch, was den Zeitraum bis das System einsatzbereit ist in die Länge zieht. Da die Ansprüche bei großen Unternehmen sowohl immens als auch variabel sind, gibt es keine schlüsselfertigen Pakete.

Keine Einheitsgrößen

Grundsätzlich sollte sehr früh in der Planungsphase entschieden werden, ob ein umfassendes System angestrebt wird, oder ein Konstrukt aus dem Baukasten, welches vielleicht von einem SIEM (Security Information and Event Management)-Tool zusammengefasst wird, um den Analytikern die Daten aufzubereiten. Ein Baukastensystem hat den Vorteil, dass individuelle Elemente dem Bedarf entsprechend eingekauft und eingesetzt werden können, um Prioritäten gerecht zu werden. Die Absicherung eines IoT-Maschinenparks benötigt andere Tools und Methoden als ein Büro voller Mitarbeiter. Tatsächlich lassen sich Maschinen jeglicher Art und deren Kommunikationswege relativ gut überwachen, da jede Abweichung von einer einmal erstellten Baseline eine Anomalie in sich selbst darstellt, und entweder auf ein Problem oder ein Risiko hindeutet. Mit relativ einfachen Methoden wie dem Messen des Datenverkehrs mittels Deep Packet Inspection lassen sich Abweichungen in Echtzeit erkennen.

Bei den Mitarbeitern sieht es anders aus. Wir Menschen tendieren dazu, nicht innerhalb von Baselines zu arbeiten, sodass Anomalien schwieriger zu definieren sind. Eine spezielle Herausforderung zu diesem Thema existiert in Deutschland: Man kann die Benutzer, in diesem Fall die Mitarbeiter, nicht einfach überwachen, ohne in Konflikt mit zahlreichen Gesetzen zu kommen. Auch wenn die gesammelten Daten nur der Absicherung von Unternehmenswerten dienen, wird es schwierig sein, den Betriebsrat davon zu überzeugen.

Wichtig: Präventive Vorgehensweise

Selbstverständlich kann man nicht auf alle Eventualitäten vorbereitet sein, aber das Verringern des Risikos ist mittels eines durchdachten Berechtigungskonzepts realisierbar. Wenn ein Mitarbeiter prinzipiell nicht auf eine Ressource zugreifen kann, können die darin enthaltenen Informationen selbst versehentlich nicht nach außen gelangen oder verändert werden. Klingt einfach, ist es auch, wenn der Einsatz von korrekten Werkzeugen „Unfälle“ wie zum Beispiel das versehentliche Erweitern von Berechtigungen über drag-n-drop vermeidet, und stattdessen bei jeder Änderung einen Kommentar erfordert, um einem Change-Protokoll zu folgen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ein permanentes Audit des Change-Protokolls gehört ebenfalls zur Prävention. Ein herkömmliches SIEM wird nicht in jedem Fall in der Lage sein, Änderungen an beliebigen Anwendungen zu erkennen; ein spezialisiertes Werkzeug kann dies schon, und erlaubt darüber hinaus das Zurücksetzen von Änderungen im Bedarfsfall. Dieser Fall entsteht, wenn die Änderung nicht oder nur inkorrekt autorisiert wurde, oder wenn es zu unvorhergesehenen Auswirkungen kommt.

Nur ein technisches Problem oder eine Bedrohung?

Unternehmen mit erhöhtem Fokus auf Sicherheit nutzen meist schon ein System zur IT-Überwachung, um technische Probleme eingrenzen und beseitigen zu können. Solche Werkzeuge helfen auch bei Routine-Aufgaben, die der Security zuträglich sind wie zum Beispiel dem Patchen von Betriebssystemen, Anwendungen oder Netzwerk-Geräten, und Erlauben auch das Simulieren von Veränderungen.

Trotzdem ist es herausfordernd, frühzeitig zwischen technischen Problemen und einer akuten Bedrohung zu unterscheiden. Eine plötzlich langsame Verbindung oder eine träge Datenbank, die bisher immer performant war, kann Begleiterscheinung von beidem sein. Daher ist es von Vorteil, wenn die komplette IT an einem Strang zieht und bei Problemen, deren Natur noch undefinierbar ist, weitere Teams oder Abteilungen involviert. Erfahrene Technikexperten haben üblicherweise ein gutes Gespür dafür, aus welcher Richtung das Problem kommt, benötigen aber die Daten aus Monitoring-Systemen, um es zu beweisen. Aber was, wenn es zu viele Daten gibt?

Konsolidierung von Werkzeugen

Es ist schon als hohe Kunst zu bezeichnen, verschiedenste Daten sinnvoll miteinander verknüpfen zu können. Um die Analysten hierbei zu unterstützen, gibt es unterschiedliche Wege. So kann man Daten von einem Werkzeug über eine API in ein anderes Tool weiterleiten, wo diese um eine weitere Ebene ergänzt werden. In den meisten Umgebungen kommt an dieser Stelle ein SIEM zum Einsatz, welches Regeln oder Machine Learning dazu nutzt, Variablen zu verknüpfen, und diese idealerweise auch direkt visualisiert. Der Vorgang der Anpassung auf das Unternehmen ist mitunter sehr aufwendig, und der Einsatz von Spezialisten ist empfehlenswert, da die Nachrichten und Mitteilungen von verschiedenen Lösungen selten von Haus aus kompatibel sind. Hier ist es von Vorteil, wenn es möglich ist, die verschiedenen Lösungen aus einer Hand zu beziehen, um die Interoperabilität zu erhöhen.

Auch in großen Unternehmen sollte man nicht der „viel hilft viel“ Denkweise unterliegen und stattdessen von Anfang an mit einer durchdachten Planung überzeugen. Letzten Endes wird der Wandel eines SOC von einer reinen Kostenstelle zu einem integralen Teil des Unternehmens spätestens beim ersten verhinderten Angriff deutlich.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:47103085)